Die drastischen Maßnahmen, die seitens der österreichischen Behörden anlässlich der Corona-Krise in Bezug auf Unternehmen ergriffen wurden, dürfen nicht dazu führen, dass der Datenschutz hintangestellt wird. Unternehmen sollten sich keinesfalls dazu verleiten lassen, in der generell herrschenden Unsicherheit und Ausnahmesituation und dem damit einhergehenden Druck, datenschutzrechtliche Regelungen und Vorgaben aus den Augen zu verlieren. Die DSGVO und das österreichische Datenschutzgesetz gelten uneingeschränkt weiter.
Insbesondere in Bezug auf Gesundheitsheitsdaten stellen sich schwierige Fragen aus datenschutzrechtlicher Sicht, beispielsweise, wie man mit Daten von Mitarbeitern und Dritten umgeht, die man im Zusammenhang mit Kontrollen, Verdachtsfällen oder Krankheitsfällen erhebt.
Die österreichische Datenschutzbehörde hat eine Stellungnahme – Information der Datenschutzbehörde zum Coronavirus (Covid-19) – veröffentlicht. Nachstehend haben wir für Sie eine erste Zusammenfassung und Hinweise für Ihre Praxis erstellt:
I) Umgang mit einem Verdachtsfall oder einer tatsächlichen Infektion im Betrieb
Wenn ein Mitarbeiter – auch wenn dies nur mündlich sein mag – dem Dienstgeber gegenüber den Verdacht äußert, er könne mit dem Coronavirus infiziert sein, werden dadurch bereits Daten erhoben. Da es sich hierbei um Gesundheitsdaten handelt, sind zudem die strengeren Anforderungen des Art 9 DSGVO als Rechtfertigungsgrund für die Verarbeitung zu beachten. Als Rechtsgrundlage für die Verarbeitung – auch als Ausfluss der arbeitsrechtlichen Fürsorgepflicht – kann hier Art 9 Abs 2 lit b DSGVO (Erfüllung der arbeitsrechtlichen Verpflichtungen) herangezogen werden, mit dem Ziel des Ausschlusses von Gesundheitsrisiken, der Prävention von Infektionen und der Eindämmung einer Virusverbreitung am Arbeitsplatz.
Bei allen ergriffen Maßnahmen sind jedoch stets die Grundprinzipien der DSGVO zu beachten, insbesondere ist zu prüfen und zu dokumentieren, ob die Verarbeitungstätigkeit dem Zweck entsprechend angemessen ist oder ob nicht eventuell Maßnahmen gesetzt werden können, die weniger eingriffsintensiv sind.
Die Einhaltung der datenschutzrechtlichen Grundprinzipien und Bestimmungen ist auch bei der Nennung des Namens eines Mitarbeiters zu beachten, der möglicherweise oder tatsächlich infiziert ist, um einer etwaig vermeidbaren Stigmatisierung vorzukommen. So sollte stets im Einzelfall abgewogen werden, ob es tatsächlich im Sinne der Fürsorgepflicht notwendig ist, gegenüber Mitarbeitern den konkreten Namen des betroffenen Arbeitnehmers zu nennen, oder ob eine allgemeine Information ausreichend ist, dass im Betrieb der Verdacht einer Infektion besteht bzw. dass eine Infektion vorliegt. Dies gilt selbstverständlich nicht für den Fall, dass allfällige Kontaktpersonen des betroffenen Mitarbeiters ausgeforscht werden müssen, hier ist es unumgänglich, den Namen zu nennen, um das Risiko der weiteren Verbreitung durch Kontaktpersonen einzudämmen.
Eine Weitergabe personenbezogener Informationen muss auch während der Corona-Krise stets auf den kleinstmöglichen Kreis beschränkt werden. Die Informationen müssen zudem sicher verwahrt und ehestmöglich gelöscht werden.
II) Weitergabe der Mitarbeiterdaten an die zuständigen Behörden
Sobald der Verdacht einer Infektion besteht, sind die Daten des betroffenen Mitarbeiters durch den datenschutzrechtlich Verantwortlichen im Unternehmen an die Gesundheitsbehörden zu übermitteln. Als Rechtsgrundlage verweist die Datenschutzbehörde auf Art 9 Abs 2 lit i DSGVO. Auf Verlangen der zuständigen Behörden kann auch eine Pflicht zur Auskunftserteilung und sohin Kooperation nach § 5 Abs 3 EpidemieG bestehen. Die Übermittlung hat auf sicherem Weg zu erfolgen.
III) Verarbeitung von privaten Kontaktdaten
Die Datenschutzbehörde stellt klar, dass zu Zwecken der Kontaktaufnahme mit den Mitarbeitern auch die privaten Kontaktdaten der Mitarbeiter temporär erhoben und gespeichert werden dürfen. Dies soll dem Zweck dienen, die Mitarbeiter auch außerhalb ihres Arbeitsplatzes kurzfristig über einen Verdachtsmoment oder eine Infektion warnen zu können, sodass diese nicht am Arbeitsplatz erscheinen müssen. Hierbei gilt es zu beachten, dass die Verarbeitung der privaten Kontaktdaten nach Angaben der Datenschutzbehörde zwar auf Grundlage der berechtigten Interessen des datenschutzrechtlichen Verantwortlichen nach Art 6 Abs 1 lit f DSGVO stattfindet, die Bereitstellung der Daten durch die Mitarbeiter jedoch freiwillig erfolgen muss. Auch bei der Erhebung der privaten Kontaktdaten ist eine Information gemäß Art 13 DSGVO erforderlich.
Gerne unterstützen wir Sie auch und gerade jetzt in „Corona-Zeiten“, damit Sie jederzeitdatenschutzkonform agieren.
Information der Datenschutzbehörde zum Coronavirus (Covid-19)